El 12 de julio, la prensa aún no ha confirmado oficialmente los informes de que Facebook
llegó a un acuerdo con la Comisión Federal de Comercio de EE. UU. Con respecto a la filtración de información del usuario. El tema principal de la investigación de la FTC fueron las
acciones de Cambridge Analytica, que en 2015 recibió datos de decenas de millones de usuarios de Facebook. Facebook es acusado de protección insuficiente de la privacidad del usuario, y si se confirman los mensajes, la red social pagará a la comisión estatal de Estados Unidos la multa más grande en la historia de $ 5 mil millones.
El escándalo de Facebook y Cambridge Analytica es el primero, pero de ninguna manera el último ejemplo de discusión de problemas técnicos con métodos completamente no técnicos. En este resumen, veremos algunos ejemplos recientes de tales discusiones. Más específicamente, cómo se discuten los problemas de privacidad del usuario sin tener en cuenta las características específicas de la operación de los servicios de red.
Ejemplo uno: Google reCaptcha v3La nueva versión de la
herramienta de control de bot de Google
reCaptcha v3 se presentó
en octubre de 2018 . La primera versión de "captcha" de Google distinguió a los robots de las personas en reconocimiento de texto. La segunda versión cambió el texto a imágenes y luego las mostró solo a aquellos a quienes consideraba sospechosos.
La tercera versión no pide nada, basándose principalmente en el análisis del comportamiento del usuario en el sitio web. A cada visitante se le asigna una calificación específica, según la cual el propietario del sitio puede, por ejemplo, forzar una solicitud de autorización a través de un teléfono móvil si considera que el inicio de sesión es sospechoso. Todo parece estar bien, pero no del todo. El 27 de junio, la publicación de Fast Company publicó un largo
artículo donde, refiriéndose a dos investigadores, identifica las áreas problemáticas de reCaptcha v3 en términos de privacidad.
En primer lugar, al analizar la última versión de CAPTCHA, se descubrió que los usuarios que iniciaron sesión en una cuenta de Google, por definición, obtienen una calificación más alta. Del mismo modo, si abre un sitio web a través de una red VPN o Tor, es más probable que lo marquen como visitante sospechoso. Finalmente, Google recomienda instalar reCaptcha en todas las páginas del sitio web (y no solo en aquellas en las que necesita verificar al usuario). Esto proporciona más información sobre el comportamiento del usuario. Pero esta misma característica teóricamente proporciona a Google una gran cantidad de información sobre el comportamiento del usuario en cientos de miles de sitios (según Fast Company, reCaptcha v3 está instalado en 650 mil sitios, varios millones usan versiones anteriores).
Este es un ejemplo típico de una discusión ambigua de las tecnologías: por un lado, cuantos más datos tenga una herramienta útil para luchar contra los robots, mejores serán los propietarios y usuarios del sitio. Por otro lado, el proveedor de servicios obtiene acceso a una gran selección de datos y, al mismo tiempo, controla quién debe ser admitido en los datos digitales de inmediato y quién dificulta la vida. Obviamente, los defensores de la máxima privacidad, tratando de no mantener cookies innecesarias en su navegador, usando constantemente VPN, no les gusta este progreso en absoluto. Desde el punto de vista de Google, no hay problema: la compañía afirma que los datos "captcha" no se utilizan para la orientación publicitaria, y la complicación de la vida de los controladores de bot es una buena razón para tales innovaciones.
Ejemplo dos: acceso a datos en aplicaciones de AndroidA finales de junio, esa misma Comisión Federal de Comercio de EE. UU. Celebró una conferencia PrivacyCon. El informe del investigador Serge Egelman se dedicó a cómo los desarrolladores de aplicaciones para Android eluden las limitaciones del sistema y reciben datos que, en teoría, no deberían recibirse. En un
estudio científico , se analizaron 88 mil aplicaciones de la Google Play Store estadounidense, de las cuales 1325 pudieron sortear las limitaciones del sistema.
Como lo hacen Por ejemplo, la aplicación de procesamiento de fotos de Shutterfly obtiene acceso a datos de geolocalización, incluso si el usuario les prohíbe hacerlo. Es simple: la aplicación procesa geoetiquetas almacenadas en fotos a las que está abierto el acceso. El representante del desarrollador razonablemente
comenta que el procesamiento de geoetiquetas es una funcionalidad estándar del programa utilizado para ordenar las fotos. Varias aplicaciones pasaron por alto la prohibición de acceso a la geolocalización escaneando las direcciones MAC de los puntos de Wi-Fi más cercanos y determinando así la ubicación aproximada del usuario.
Se descubrió un método un poco más "criminal" para eludir las restricciones en 13 aplicaciones: una aplicación puede tener acceso al IMEI del teléfono inteligente. Lo guarda en una tarjeta de memoria, desde donde otros programas que no tienen acceso pueden leerlo. Entonces, por ejemplo, una red publicitaria de China sí, cuyo SDK está incrustado en el código de otras aplicaciones. El acceso a IMEI le permite identificar de manera única al usuario para la posterior orientación publicitaria. Por cierto, otro estudio está relacionado con el acceso universal a los datos en la tarjeta de memoria: se reveló la posibilidad (teórica) de
sustitución de archivos multimedia al comunicarse en los mensajeros de Telegram y Whatsapp. Como resultado, las reglas de acceso a datos en la nueva versión de Android Q se
reforzarán aún más .
Ejemplo tres: ID de Facebook en imágenesHace unos años, tal tweet podría desencadenar, en el mejor de los casos, una discusión técnica para un par de docenas de publicaciones, pero ahora
las publicaciones del blog de Forbes están escribiendo sobre eso. Desde al menos 2014, Facebook ha
agregado sus propios identificadores a los metadatos de imágenes
IPTC que se cargan en Facebook o en la red social de Instagram. Los identificadores de Facebook se analizan con más detalle
aquí , pero nadie sabe exactamente cómo los usa la red social.
Teniendo en cuenta los antecedentes negativos de las noticias, este comportamiento puede interpretarse como "otra forma de monitorear a los usuarios, pero qué es lo que podrían hacer". Pero, de hecho, los identificadores en los metadatos se pueden usar, por ejemplo, para prohibiciones de contenido ilegal en la alfombra, y puede bloquear no solo los reenvíos dentro de la red, sino también los scripts "descargaron la imagen y la volvieron a cargar". Dicha funcionalidad puede ser útil.
El problema de la discusión pública de los problemas de privacidad es que las características técnicas reales de un servicio a menudo se ignoran. El ejemplo más revelador: una discusión sobre las puertas traseras del gobierno en sistemas de encriptación para mensajeros instantáneos o datos en una computadora o teléfono inteligente. Los interesados en acceder sin problemas a los datos cifrados hablan de la lucha contra el crimen. Los expertos en cifrado han argumentado que el cifrado no funciona de esta manera, y el debilitamiento intencional de los algoritmos criptográficos los
hará vulnerables a todos . Pero al menos estamos hablando de una disciplina científica que tiene varias décadas de antigüedad.
Qué es la privacidad, qué tipo de control sobre nuestros datos es necesario, cómo monitorear el cumplimiento de tales estándares: no hay una respuesta clara y general a todas estas preguntas. En todos los ejemplos en esta publicación, nuestros datos se recopilan para algunas funciones útiles, sin embargo, este beneficio no siempre es para el usuario final (más a menudo para el anunciante). Pero cuando observa los atascos de camino a casa, esto también es el resultado de la recopilación de datos sobre usted y cientos de miles de otras personas.
No quiero terminar la publicación con una estúpida conclusión "no es tan simple", así que intentemos de esta manera: cuanto más a menudo, los desarrolladores de programas, dispositivos y servicios tendrán que resolver no solo problemas técnicos ("cómo hacerlo funcionar"), sino también socialmente política ("cómo no pagar multas, no te leas artículos enojados en los medios y no pierdas la competencia con otras compañías donde hay más privacidad al menos en palabras"). ¿Cómo cambiará la industria en esta nueva realidad? ¿Tendremos más control sobre los datos? ¿Se ralentizará el desarrollo de nuevas tecnologías debido a la "presión pública", que requiere gastar tiempo y recursos? Esta evolución la observaremos.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.